『PolySécure Podcast』のカバーアート

PolySécure Podcast

PolySécure Podcast

著者: Nicolas-Loïc Fortin et tous les collaborateurs
無料で聴く

このコンテンツについて

 Podcast francophone sur la cybersécurité. Pour professionels et curieux.CC BY-NC-ND 4.0
エピソード
  • Spécial - L'enflure des titres sur LinkedIn - Parce que... c'est l'épisode 0x620!

    Spécial - L'enflure des titres sur LinkedIn - Parce que... c'est l'épisode 0x620!
    2025/08/20
    Parce que… c’est l’épisode 0x620! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description L’inflation des titres sur LinkedIn et dans l’informatique Dans cet épisode, NLF et Davy Adam abordent un phénomène problématique qui touche le secteur informatique : l’inflation et la dénaturation des titres professionnels, particulièrement visible sur LinkedIn. Ils observent que des métiers traditionnels et essentiels comme technicien, administrateur système ou administrateur de base de données ont quasiment disparu au profit de titres plus ronflants comme “architecte”, “consultant”, “expert” ou “spécialiste”. La disparition des métiers de base Davy Adam note qu’il ne croise pratiquement plus d’administrateurs système ou réseau dans ses formations, alors que ces rôles restent fondamentaux pour le bon fonctionnement des infrastructures informatiques. Les professionnels préfèrent se présenter comme “spécialistes sécurité” quand ils font du réseau basique, ou “architectes cloud” quand ils administrent du Windows sur Azure. Cette dévalorisation des métiers techniques de base pose problème car ces rôles sont essentiels. Comme le souligne NLF, sans bons administrateurs et techniciens pour opérer les infrastructures, les dommages peuvent être énormes. L’excellence dans ces qualifications est très importante et ne devrait pas être dévalorisée. Le malentendu autour du rôle d’architecte Les intervenants expliquent que le titre d’architecte a un sens précis, similaire à celui d’un architecte de bâtiment. Un vrai architecte informatique doit : Écouter le client en premier lieu pour comprendre ses besoins réelsReformuler la demande avec le client, ce qui aide souvent ce dernier à clarifier ses véritables besoinsConcevoir des plans en appliquant les bonnes pratiques et normesDocumenter ses recommandations de manière claireAvoir une vision transversale sans être expert dans tous les domaines Au Québec notamment, il existe une présomption qu’un architecte sait rédiger, analyser et documenter, compétences souvent absentes chez ceux qui s’autoproclament architectes tout en excellant dans l’opérationnel. Les problèmes de recrutement et d’attentes Cette confusion des titres crée des dysfonctionnements : Pour les recruteurs : ils cherchent des “architectes” pour faire de l’implémentation techniquePour les consultants : on leur propose des missions opérationnelles alors qu’ils veulent faire du conseil stratégiquePour les clients : leurs attentes ne correspondent pas aux profils recrutés Davy Adam utilise l’analogie médicale : on ne demande pas à un chirurgien orthopédique de couper les ongles, même s’il en a techniquement la capacité. La hiérarchisation des rôles n’est pas un jugement de valeur mais une question de répartition efficace des compétences. La vraie nature du consulting Les deux experts insistent sur ce qu’est réellement le consulting : Intervention ponctuelle : quelques jours par mois chez plusieurs clients plutôt qu’une présence permanenteConseil à la demande : comme un avocat ou un médecin qu’on consulte pour son expertiseSynthèse d’expérience : apporter la richesse de multiples expériences vécues chez différents clientsAutonomisation des équipes : donner les clés pour que les équipes internes puissent implémenter Davy Adam compare son profil à un “couteau suisse” : de multiples capacités sans être le meilleur dans aucune, mais avec la capacité de faire le lien entre tous les domaines. Les défis du freelancing et les malentendus Les consultants freelance font face à des demandes inadéquates : Missions de résidence alors qu’ils cherchent du conseil ponctuelTâches opérationnelles alors qu’ils veulent faire de la stratégieAttentes de présence permanente incompatibles avec leur modèle économique NLF et Davy Adam expliquent que leur valeur réside dans la diversité de leurs expériences, pas dans une expertise approfondie unique. Ils préfèrent refuser des missions inadéquates plutôt que de créer de la frustration mutuelle. L’aspect économique du consulting Le consulting coûte plus cher à l’heure mais reste moins onéreux sur l’année car : Usage ponctuel : on ne paie que quand on a besoin du consultantExpertise concentrée : résolution rapide des problématiquesPas de coûts de structure : pas de charges sociales permanentes Comme le dit Davy Adam : “Je synthétise 10 ans d’expérience en une journée et réponds à toutes tes questions.” L’intelligence artificielle ne remplace pas l’...
    続きを読む 一部表示
    52 分
  • Conspiration Cyber Citoyen au 13 août 2025 - Parce que... c'est l'épisode 0x619!

    Conspiration Cyber Citoyen au 13 août 2025 - Parce que... c'est l'épisode 0x619!
    2025/08/18
    Parce que… c’est l’épisode 0x619! Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description Introduction : La pyramide des conspirations Catherine Dupont-Gagnon ouvre l’épisode en présentant la pyramide des conspirations d’Abby Richards (connue sous le nom de Tofologie), un outil pédagogique pour comprendre les différents niveaux de théories conspiratrices. Cette pyramide part de la base avec des éléments ancrés dans la réalité (comme MK-Ultra, aujourd’hui documenté), puis progresse vers la ligne de spéculation (Area 51), les théories sans danger mais fausses (le Titanic n’a jamais coulé, Avril Lavigne remplacée par un clone), jusqu’aux niveaux dangereux qui nient la réalité (5G, Pizzagate) et finalement les théories antisémites et déshumanisantes (lézards extraterrestres, négationnisme de l’Holocauste). L’objectif est de montrer qu’il est normal et sain de poser des questions, tant qu’on reste ancré dans les faits et les preuves. Le problème survient quand on commence à “remplir les vides” avec des spéculations non fondées. L’histoire factuelle d’Jeffrey Epstein Samuel Harper présente ensuite les faits documentés de l’affaire Epstein. En 1998, Ghislaine Maxwell commence à recruter des “assistantes” et “masseuses” dans des écoles et centres pour Jeffrey Epstein. En 2005, une enquête policière révèle un système pyramidal de recrutement où des mineures, souvent de 13-14 ans, étaient exploitées sexuellement et encouragées à recruter d’autres victimes. L’enquête de West Palm Beach identifie 18 victimes nommées, tandis que le FBI en trouve 34. Malgré l’ampleur des preuves, Epstein plaide coupable à seulement deux accusations mineures en 2008 et purge 13 mois d’une sentence de 18 mois, avec des conditions de détention exceptionnellement favorables. Le parcours d’Epstein révèle des éléments troublants : sans diplôme universitaire, il est embauché comme professeur à l’école élitiste Dalton par Donald Barr (père de William Barr), puis recruté chez Bear Stearns avant de fonder sa propre entreprise d’investissement prétendument réservée aux milliardaires. Les zones grises et spéculations Le podcast explore ensuite les aspects plus nébuleux de l’affaire. Epstein a généré plus de 800 millions de dollars entre 1999 et 2018, principalement grâce à des “frais de consultation” de clients comme Les Wexner (200 millions) et Leon Black (170 millions) - des sommes inhabituellement élevées pour des conseils fiscaux. Les liens d’Epstein avec des personnalités influentes soulèvent des questions : Bill Clinton, le prince Andrew, Donald Trump, Kevin Spacey, et de nombreuses autres figures publiques fréquentaient ses cercles. Virginia Giuffre a notamment accusé plusieurs personnalités d’agressions dans le cadre du réseau d’Epstein. Les circonstances de la mort d’Epstein La mort d’Epstein en prison en août 2019 alimente de nombreuses spéculations. L’autopsie révèle une fracture de l’os hyoïde, plus fréquente dans les homicides que les suicides. Les enregistrements vidéo du premier incident en juillet ont mystérieusement disparu, et son compagnon de cellule était Nick Tartaglione, un ancien policier condamné pour quadruple meurtre. Alexander Acosta, le procureur qui avait accordé l’accord clément à Epstein en 2008, aurait déclaré qu’Epstein “appartenait au renseignement” et était “au-dessus de son niveau de compétence”, avant de se rétracter. Les théories sur les services de renseignement Le podcast aborde les rumeurs de liens avec les services secrets. Des sources non confirmées suggèrent des connections avec le Mossad israélien, notamment à travers le père de Ghislaine Maxwell, Robert Maxwell, magnat de la presse décédé dans des circonstances mystérieuses. Ces théories restent largement spéculatives, manquant de corroboration solide. Trump et les développements récents Les relations entre Trump et Epstein sont documentées : ils se connaissaient depuis les années 1990, Trump a voyagé sur le jet d’Epstein, et des citations de 2002 montrent Trump louant Epstein comme “un type formidable” qui “aime les belles femmes, et beaucoup d’entre elles sont plutôt jeunes”. Le podcast révèle un retournement politique récent : après avoir promis de divulguer les “fichiers Epstein” pendant sa campagne, l’administration Trump a publié en juillet 2025 un mémo déclarant qu’aucune nouvelle divulgation n’était nécessaire, qu’il n’existait pas de “liste de clients” et qu’Epstein s’...
    続きを読む 一部表示
    1 時間 44 分
  • Spécial - NIS2 - Parce que... c'est l'épisode 0x618!

    Spécial - NIS2 - Parce que... c'est l'épisode 0x618!
    2025/08/13
    Parce que… c’est l’épisode 0x618! Préambule Shameless plug 10 et 11 septembre 2025 - GoSec 2025 Code rabais de 15% - GSPOL25 13 septembre 2025 - BSides Montreal 202512 au 17 octobre 2025 - Objective by the sea v814 et 15 octobre 2025 - Forum inCyber Canada Code rabais de 30% - CA25KDUX92 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec17 au 20 novembre 2025 - European Cyber Week25 et 26 février 2026 - SéQCure 2026 Description Introduction et contexte Charlotte Trudelle, consultante en gouvernance, risque et conformité chez Cyblex Consulting, présente la directive européenne NIS 2, qui constitue la suite de NIS 1. Cette réglementation vise à protéger les entités critiques européennes dans un contexte d’augmentation des cyberattaques et d’omniprésence des systèmes d’information. Contrairement au RGPD qui a des applications extraterritoriales, NIS 2 se concentre principalement sur le territoire européen, mais suivra un modèle de transposition similaire dans chaque pays membre. Objectifs et philosophie de NIS 2 L’objectif principal n’est pas d’atteindre une sécurité absolue, mais d’améliorer la résilience et la capacité de réaction aux incidents. La directive vise à “effacer le bruit ambiant” et empêcher les attaques opportunistes, particulièrement les ransomwares facilement déployables. Il s’agit d’établir une hygiène de base en cybersécurité plutôt que de se prémunir contre des attaques étatiques sophistiquées. La directive prône une approche par les risques, reconnaissant que les 18 secteurs d’activité couverts ont des profils de risque variables. L’Europe souhaite également créer un écosystème résilient global, incluant le partage des menaces et vulnérabilités, ainsi que la mise en place du UVD (pendant européen des bases CVE) par l’agence ENISA. Périmètre d’application considérablement élargi NIS 2 couvre 18 secteurs d’activité, répartis entre entités essentielles et entités importantes. Les entités essentielles incluent l’énergie, le transport, l’eau potable (déjà dans NIS 1), auxquels s’ajoutent les eaux usées, la santé, l’espace et les administrations publiques. Le secteur bancaire bénéficie d’un traitement spécial avec le référentiel DORA. Les entités importantes comprennent les services postaux, la gestion des déchets, et la fabrication alimentaire. L’impact est considérable : en France, on passe de 300 entités concernées par NIS 1 à potentiellement 15 000 avec NIS 2, avec des seuils démarrant à 50 employés. Effet de cascade et impact sur les tiers Une différence majeure avec le RGPD réside dans l’effet de cascade sur les fournisseurs et prestataires. Toutes les entreprises travaillant avec les entités régulées devront également se conformer à NIS 2, même si elles n’atteignent pas les seuils de taille requis. Cette approche vise à sécuriser l’ensemble de la chaîne d’approvisionnement, reconnue comme un vecteur d’attaque privilégié. Mesures et exigences techniques Les mesures s’appuient largement sur la norme ISO 27001, évitant de “réinventer la roue”. Les exigences incluent : Inventaire des actifs (retour aux fondamentaux)Gestion des ressources humaines (approche transverse)Gestion des tiers et prestatairesGestion des incidents avec critères précis de déclarationSupervision et revues régulières La directive fixe des critères quantitatifs précis pour les incidents, éliminant l’interprétation subjective. Contrairement à NIS 1 qui ne réglementait que les systèmes critiques, NIS 2 s’applique à l’ensemble du système d’information, sauf isolation prouvée des systèmes critiques. Sanctions et modèle de contrôle Les sanctions suivent le modèle RGPD : 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles, 7 millions ou 1,4% pour les entités importantes. Le modèle de contrôle ressemble également au RGPD, avec des autorités nationales (ANSSI en France) effectuant des audits et contrôles, sans certification obligatoire prévue. Défis de transposition et accompagnement La transposition française accuse du retard, adoptée par le Sénat en mars et en cours d’examen à l’Assemblée nationale. Le projet “Résilience” transpose simultanément NIS 2, DORA et CER (Critical Entities Resilience), créant une complexité réglementaire supplémentaire. L’ANSSI privilégie l’accompagnement à la sanction, reconnaissant que de nombreuses entités découvrent la réglementation cyber. Des outils d’auto-évaluation et de suivi sont déjà disponibles pour faciliter la transition. Impact sur les différents types d’organisations Pour les grandes entreprises internationales, déjà familières avec l’ISO 27001, l’adaptation devrait être relativement aisée. La principale préoccupation concerne le “millefeuille réglementaire” et la conformité administrative. Les PME et ...
    続きを読む 一部表示
    37 分
まだレビューはありません